|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Dmitriy Kyrhlarov 2:5020/400 04 Mar 2002 20:41:04
To : Viktoras Cybulskis
Subject : Re: Vopros po povodu sheipa ... i drugije ...
--------------------------------------------------------------------------------
Hi!
Viktoras Cybulskis wrote:
>
> >Да. Меньше шансов наделать ошибок и, кроме того, при ipfw flush все
> >закрыто оказется.
> ipfw flush - Что это?
man ipfw ты уже сделал? ;-)
> >> >man ipfw про pipe
> Hу я спорить не буду только мне сказали что что-то еще есть во фри для
> шейпа. - вот я и спрашиваю ... почемуто говорили что папы не совсем
> корректно работают.
Говорят, если сильно нагруженный пайп переконфигурить много раз подряд
(не то в большую, не то в меньшую сторону), то можно panic получить...
Решение очень простое -- не надо пипку мучать.
Альтернативы -- altq, bwman. Там всякие навороты типа ограничение полосы
пропускания _снизу_.
> Если я использую только на вход то всего 4 правила? надеюсь тут
3 или 2, вероятно, имелось ввиду? ;-)
> А вы сами используете этот скрипт?
У меня немного не так сделано. Если свои рулесы в /etc/rc.firewall
хранить есть шанс, при последующем mergemaster, прибить их по
неаккуратности.
У меня так:
В /etc/rc.conf:
firewall_enable="YES"
firewall_type="/etc/rc.firewall.elm"
В /etc/rc.firewall:
[Uu][Nn][Kk][Nn][Oo][Ww][Nn])
;;
*)
if [ -r "${firewall_type}" ]; then
${firewall_type}
fi
;;
esac
Т.е. запускается совсем отдельный скрипт: /etc/rc.firewall.elm
А в нем уже и лежат мои правила.
> А то я сделал типа своего скрипта и засунул его в автозагрузку ...
Стандартный способ стартовать файрвол -- /etc/rc.firewall. Чем плохо?
Кроме того, /usr/local/etc/rc.d отрабатывается далеко не в первую
очередь -- не понятно, как всякие демоны, сконфигуряченные в
/etc/rc.conf отнесутся к тому, что в момент старта сети нет (файрвол-то
закрыт). Да и не интересно это, имхо.
> Hо он совсем не похож на стандартный скрипт файрвола.
В смысле правила выглядят как:
ipfw add 500 allow ip from 192.168.1.1 to 192.168.1.2 via ed0 in?
Это не очень удачно:
1. Hа каждую машину у тебя, будет больше, чем одно правило,
соответсвенно, при изменении адреса тебе их надо будет лопатить все.
2. Поменял ты сетевуху. Стало не ed0, а fxp0, а ed0 теперь переехала на
внешний интерфейс. Сколько правил надо будет поправить?
...
Гораздо правильней делать так, как в /etc/rc.firewall. Сперва заводишь
переменные, на все случаи жизни, потом их юзаешь в правилах.
/etc/rc.firewall.elm:
#!/bin/sh
if [ -r /etc/defaults/rc.conf ]; then
. /etc/defaults/rc.conf
source_rc_confs
elif [ -r /etc/rc.conf ]; then
. /etc/rc.conf
fi
if [ -n "${1}" ]; then
firewall_type="${1}"
fi
case ${firewall_quiet} in
[Yy][Ee][Ss])
fwcmd="/sbin/ipfw -q"
;;
*)
fwcmd="/sbin/ipfw"
;;
esac
${fwcmd} -f flush
${fwcmd} -f pipe flush
#EXTERNAL interface
oif="ed0"
onet="xxx.xxx.xxx.xxx" # world net address
omask="255.255.255.252" # world net mask
oip="yyy.yyy.yyy.yyy" # world IP
#INTERNAL interface
iif="xl0"
inet="192.168.0.0"
imask="255.255.255.0"
iip="192.168.0.1"
#Somebody IP's
nachalnik="192.168.0.2"
coolgirl="192.168.0.3"
admin="192.168.0.4"
externalftp="zzz.zzz.zzz.zzz"
...
#Close holls
${fwcmd} add 100 allow ip from any to any via lo0
${fwcmd} add 200 deny ip from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
${fwcmd} add deny ip from ${onet}:${omask} to any via ${iif} in
${fwcmd} add deny ip from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny ip from any to 172.16.0.0/12 via ${oif}
${fwcmd} add deny ip from any to 192.168.0.0/16 via ${oif}
...
#NATD
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
#admin
${fwcmd} add divert natd tcp from ${admin} to any
1024-65535,21,540,80,81,82,83,84,119 via ${natd_interface} out
${fwcmd} add divert natd icmp from ${admin} to any via ${natd_interface}
out
${fwcmd} add divert natd udp from ${admin} to any 1024-65535 via
${natd_interface} out
${fwcmd} add allow tcp from ${admin} to any via ${iif} in setup
${fwcmd} add allow udp from ${admin} to any via ${iif} in
...
#pipes 1,2 -- admin channel and local net, 3,4 -- our ftp, 5,6 -- all
other ftp
${fwcmd} pipe 1 config queue
${fwcmd} pipe 2 config queue
${fwcmd} pipe 3 config bw 1024Kbit/s queue 256Kbyte
${fwcmd} pipe 4 config bw 1024Kbit/s queue 256Kbyte
${fwcmd} pipe 5 config bw 4Kbit/s queue 2Kbyte
${fwcmd} pipe 6 config bw 4Kbit/s queue 2Kbyte
${fwcmd} add pipe 1 tcp from any to ${admin}
${fwcmd} add pipe 1 tcp from ${iip} to ${inet}:${imask}
${fwcmd} add pipe 2 tcp from ${admin} to any
${fwcmd} add pipe 2 tcp from ${coolgirl} to any
${fwcmd} add pipe 2 tcp from ${inet}:${imask} to ${iip}
${fwcmd} add pipe 3 tcp from ${externalftp} 1024-65535 to
${inet}:${imask}
${fwcmd} add pipe 4 tcp from ${inet}:${imask} to ${externalftp}
1024-65535
...
> >Hе понял. Что есть "соединение путей"?
>
> PUTTY .... SSH Клиент - если правильно сказал .... Ж))
Правильно...
Есть предположение, что ты пробовал что-то там с ключами мудрить, но
недомудрил.
Попробуй вынести все ключи из PUTTY нафиг.
Я с этим не разбирался. Юзаю SSH и по-простецки каждый раз ввожу пароль
ручками.
By.
Dmitriy
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
